خط‌ مشی و سیاست های رمز عبور یا Password policy

نحوه تنظیم سیاست های رمز عبور

سیاست های رمز عبور یا Password policy به مجموعه‌ای از سیاست‌ ها که مربوط به قوانین و مقررات مربوط به پسورد است، گفته می‌شود. این سیاست ها که با اهداف امنیتی اعمال می‌گردد، یکی از ساده‌ترین مراحل امن سازی سازمان‌ها است. در این راستا موسسه National Institute of Standards and Technology یا NIST دستورالعمل‌های صحیح هویت دیجیتال را برای خط مشی رمز عبور ارائه می‌دهد که شامل موارد زیر است:

پیچیدگی و طول رمز عبور

امروزه دیده می‌شود که بسیاری از سازمان‌ها هنگام دریافت رمز عبور از کاربر، قوانینی را اعمال می‌کنند، مانند استفاده از حداقل یک عدد، حروف بزرگ، حروف کوچک و استفاده از کارکتر‌های خاص. با این حال مزایای این قوانین آن طور که باید نبوده زیرا که بخاطر سپردن و نوشتن این رمز‌ها برای کاربران سخت می‌باشد.
عامل اصلی قدرت رمز عبور طول آن می‌باشد. بر اساس NIST توصیه می‌کند که کاربران خود را تشویق به اعمال رمز عبوری طولانی با حداکثر 64 کارکتر (شامل فاصله) نمایید.

سن رمز عبور

در دستورالعمل‌های قبلی NIST توصیه می‌شد که کاربران خود را هر 90 روز یکبار (و هر 180 روز یکبار برای passphraseها) به تغییر رمز عبور مجبور نمایید. ولی معمولا این باعث نارضایتی کاربران و در نتیجه استفاده آن‌ها از رمزهای عبور قدیمی یا استفاده از الگو‌های ساده در انتخاب رمز عبور جدید، می‌شد که این موضوع هم به امنیت اطلاعات سازمان‌ها اسیب میزد. در هر حال باید دانست که می‌تواند با در نظر گرفتن استراتژی‌هایی، کاربران را به یافتن راه‌های خلاقانه برای انتخاب رمز عبور دعوت نمود.
به همین دلیل در دستورالعمل‌های جدید NIST مشاهده می‌کنید که توصیه می‌شود که از کاربران خود بخواهید تنها در صورت مشاهده تهدید بالقوه یا مشکوک به دسترسی غیرمجاز، اقدام به تغییر رمز عبور خود نمایند.

گذرواژه‌های ضعیف که مستعد حملات Brute force هستند

شما می‌توانید برای امنیت بیشتر رمزهای عبور با ویژگی‌های زیر را منع یا مسدود نمایید.

• رمز‌های عبور قابل حدس مانند عبارت password
• رشته‌ای از اعداد و حروف مشابه “12345” یا “abcd”
• رشته‌ای از کارکتر‌های که به صورت متوالی روی صفحه کلید قرار دارند مانند “@#$%^&” یا “qwerty”
• استفاده از نام همسر یا هر نام دیگر
• استفاده از شماره موبایل یا تلفن، شماره پلاک، تاریخ تولد افراد یا سایر اطلاعاتی که می‌تواند به راحتی به دست آید
• تکرار کارکتر‌های به صورت متوالی مانند “zzzzzz”
• استفاده کلماتی که در Dictionary listهای عمومی یافت می‌شود.
• رمزهای عبور قوی یا پیشنهادی، حتی در صورت قوی بودن آن
• استفاده از نام کاربری یا نام HOST در رمز عبور
• استفاده از هر یک موارد بالا همراه یک عدد قبل یا بعد آن

یک دستورالعمل خوب برای اعمال سیاست های رمز عبور

شما باید از موارد زیر اطمینان حاصل نمایید:

• طول حداقل مقدار رمز عبور را پیکربندی نمایید
• سیاستی را اعمال نمایید تا کاربران نتواند از حداقل 10 پسورد قبلی خود استفاده نمایند و همچنین حداقل سن یک رمز عبور را سه روز در نظر گیرید
• سیستم خود را طوری تنظیم نمایید که سیستم توانایی مقدار پیچیدگی رمز عبور را تشخیص دهد. قابل ذکر است که شما می‌توانید این تنظیم را برای passphraseها غیرفعال نمایید (ولی پیشنهاد نمی‌شود)
• هر 180 روز یکبار رم زعبور ادمین local خود را تغییر دهید. شما می‌توانید این کار را با ابزار free Netwrix Bulk Password Reset tool انجام دهید.
• رمز عبور service accountها (حساب‌هایی که برای سیستم ساخته شده‌اند و کاربران واقعی از آن‌های استفاده نمی‌کنند) را هر یک سال یکبار در طول نگهداشت تغییر دهید.
• برای حساب‌های دامنه‌های خود از رمز عبورهایی قوی با حداقل 15 کارکتر استفاده نمایید.
• همه تغییرات پسوردی را با استفاده از راه حلی مانند Netwrix Auditor در اکتیودایرکتوری پیگیری نمایید.
• برای تغییرهای رمز عبور اعلان‌های ایمیلی را در نظر گیرید. این کار را می‌توانید با ابزار رایگانی مانند Netwrix Password Expiration Notifier tool انجام دهید.
• توصیه می‌شود بجای ویرایش تنظیمات پیشفرض در خط مشی دامنه خود،خط مشی‌های رمز عبور گرانول ایجاد نمایید و استفاده از آن را برای تمامی بخش‌های سازمان خود الزامی نمایید.

بهترین روش‌های رمز عبور و احراز هویت اضافی

• برنامه‌های کاربردی که در سازمان بهره گرفته می‌شوند باید از احراز هویت فردی بهره گیرد نه گروهی
• برنامه‌های کاربردی سازمان باید زمانی که از رمزهای عبور ذخیره شده یا منتقل شده به خود استفاه می‌کند، آن‌ها را رمزگذاری کند تا اطمینان حاصل نماید که در دسترس نفوذگران قرار نمی‌گیرد.
• کاربران و برنامه‌های کاربردی نباید برای ذخیره سازی رمز‌های عبور از هر روشی که پسورد آن‌ها را به صورت متن واضح، ذخیره می‌کند و یا حداقل در ان می‌توان پسورد‌ها را به این صورت بازگردانی کرد، استفاده نمایند.
• در صورت امکان از احراز هویت چند عاملی یا MFA بهره گرفته شود. این به شما برای کاهش خطرات ناشی از رمز‌های عبور دزدیده شده کمک می‌کند.
• هنگامی که کارمندان با سازمان شما قطع همکاری می‌نمایند رمز‌ عبور آن‌ها را تغییر دهید.
• با کمک به کاربران خود در انتخاب رمزهای عبور جدید، مطابق با الزمات اعمال شده، به صورت فعال به آن‌ها یادآوری نمایید که تهدیدات در کمین هستند و بدین شکل انقضای گذرواژه و تغییر رمز عبور کاربران امری ناامید کننده و وقت گیر نخواهد بود

اهمیت آموزش کاربران

علاوه بر این موارد به کاربران خود موارد زیر را آموزش دهید:

• این مهم است که رمز عبور خود را بدون نوشتن در جایی به خاطر سپارید. بنابراین گذرواژه‌ای انتخاب نمایید که در عین پیچدگی در ذهن شما ماندگار باشد. در صورتی که رمز‌های عبور زیادی دارید می‌توانید از ابزار‌های مدیریت رمز عبور بهره گیرید.
• به اینکه رمز عبور شما چطور ارسال می‌شود دقت کنید زیرا که وب سایت‌هایی که آدرس آن‌ها با HTTPS به جای HTTP شروع می‌شوند، احتمالا راه بهتری را برای انتقال رمز عبور شما ارائه می‌دهند.
• در صورتی که مشکوک هستید که رم زعبور شما را کسی می‌داند، فورا آن را تغییر دهید.
• زمانی که فردی در حال تماشا شما است رمز عبور خود را تایپ نکنید.
• از استفاده یک رمز عبور در چندین وب سایت حاوی اطلاعات حساس خودداری نمایید.

نتیجه گیری:

امروزه داشتن یک رمز عبور ضعیف یکی مهم ترین عامل نفوذ‌ به کاربران شناخته می‌شود. در این زمان از مدیران شرکت‌ها و سازمان‌ها انتظار می‌رود با داشتن سیاستی درست تا حد مکان امنیت را برای کاربران خود تامین کنند. مدیران قادر هستند تا با ایجاد قوانین و مقرراری برای کاربران به منظور انتخاب رمز عبور، آن‌ها را از این تهدیدات دور نمایند.
باید بخاطر داشت که رمز عبور تنها دیوار ظاهری در برابر نفوذگران از جمله مخرب‌های تازه کار می‌باشد. در صورتی که شما این مرحله از امنیت را به خوبی بگذرانید قادر خواهید بود بسیاری از حملات را پشت سر گذارید.